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计算 机 病毒 攻击 技术 


崔 肖 君 ” 孙 毓 忠 


摘要 : 随 着 计算 机 技术 和 网 络 技术 发 展 及 应 用 范围 的 不 断 扩 大 ， 计 算 机 和 网 络 所 受到 的 攻击 也 日 益 增长 。 
本 文 阐述 了 网 络 攻击 的 主要 步骤 和 分 类 ,在 此 基础 上 对 实验 室 已 经 做 过 的 安全 相关 的 内 容 做 个 总 结 ,包括 系 
统 级 和 网 络 级 的 攻击 。 针 对 系统 的 缓冲 区 溢出 攻击 、 对 网 络 的 地 址 解析 协议 攻击 、 对 web 应 用 的 跨 站 请 求 
伪造 以 及 攻击 完成 后 攻击 者 隐藏 自身 的 Rootkit 这 四 种 攻击 , 主要 研究 其 攻击 的 背景 、 原理、 具体 的 实施 等 ， 
最 后 对 最 新 的 web 安全 十 大 威胁 做 了 简单 的 介绍 。 
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从 上 个 世纪 九 十 年 代 以 来 , 互联 网 得 到 了 迅猛 的 发 展 , 各 种 商业 机 构 及 政府 部 门 都 纷纷 
接 入 互联 网 ， 并 提供 各 种 各 样 的 网 络 应 用 服务 ,逐步 实现 全 球 范围 的 信息 共享 。 但 互联 网 是 
一 把 双 刃 剑 , 在 给 人 们 带 来 巨大 便利 的 同时 ， 也 带 来 了 一 些 负面 影响 ， 网 络 信息 的 安全 便 是 
其 中 一 个 不 容 忽视 的 问题 。 由 于 计算 机 网 络 具 有 连接 形式 多 样 性 、 开 放 性 、 互 联 性 等 特点 ， 
信 网 结 很 客 易 受到 各 各 各 入 的 攻 告 ， 所 以 网 入 安全 已 成 网 络 建设 的 个 非常 重要 的 方面 。 


我 国 的 信息 网 络 产 业 近 十 年 来 得 到 了 迅猛 发 展 。 2012 年 , 中 国 互联 网 上 网 人 数 达 到 5.64 
亿 人 , 互联 网 普及 率 达 到 42.1%。 在 人 们 使 用 互联 网 的 时 候 , 由 于 缺乏 相关 的 网 络 安全 知识 ， 
背 误 设置 了 计算 机 的 安全 配置 , 或 者 上 网 时 点 击 不 良 链接 ， 都 有 可 能 受到 攻击 ， 带 来 经 济 损 
失 以 及 隐私 泄露 。 因此， 加 深 网 民 对 攻击 的 认识 、 增 强 网 民 的 计算 机 安全 意识 ， 可 以 减少 很 
多 攻击 发 生 ， 进 而 减少 由 此 引发 的 安全 问题 。 


本 文 对 攻击 的 主要 步骤 和 分 类 进行 了 简要 介绍 , 并 以 此 为 此 基础 对 实验 室 已 经 实现 的 安 
全 相关 研究 做 个 总 结 。 在 下 一 章 中 , 我们 将 介绍 攻击 的 主要 步骤 及 其 分 类 ， 随 后 我 们 分 别 介 
绍 实验 室 实现 的 针对 系统 的 缓冲 区 溢出 攻击 、 对 网 络 的 地 址 解析 协议 〈Address Resolution 
iiaaal A RD nie Ue sD a 
这 四 种 攻击 。 最 后 ， 文 章 简单 回顾 了 2013 年 OWASP 发 布 的 web 安全 十 大 威胁 。 


2 ”攻击 分 类 


来 He Tw eH ARN ey es RI et Tes Se] 
检测 、 攻 击 所 造成 的 后 果 等 ， 可 以 有 多 种 分 类 方法 。 对 计算 机 系统 产生 的 一 次 危害 可 能 由 一 
个 攻击 行为 或 一 系列 的 攻击 行为 造成 攻击 技术 发 展 迅速 , 迫切 需要 对 攻击 行为 进行 深入 细 
致 的 研究 和 分 析 ， 以 便 及 时 发 现 攻 击 行为 的 发 生 ， 发 气 攻 击 行为 之 间 内 在 联系 ， 从 而 有 效 地 
检测 和 对 抗 攻击 ， 减 小 攻击 造成 的 危害 。 


从 攻击 者 的 角度 出 发 ， 攻 击 的 步 又 可 分 为 探测 〈Probe)、 攻 击 〈Exploit) 和 隐藏 
《Conceal) 外 ;根据 攻击 对 象 ， 可 以 分 为 基于 操作 系统 的 网 络 攻击 、 基 于 应 用 程序 的 网 络 
攻击 、 基 于 万 维 网 (web) 代码 的 网 络 攻击 、 基 于 路 由 器 的 网 络 攻击 、 基 于 手机 的 网 络 攻击 
和 基于 智能 终端 的 网 络 攻击 六 类 中 。 
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其中 攻击 的 三 个 步骤 中 


2.1 探测 技术 


探测 是 黑客 在 攻击 开始 前 必需 的 情报 收 
作 。 攻 击 者 通过 这 个 过 程 需要 尽 可 能 多 地 了 解 攻击 


到 的 主要 


的 攻击 技术 如 下 图 1 所 示 : 
踩点 
| 探测 || 扫描 
集 工 查 上 


AT 


键 击 记录 
目标 与 安全 相关 的 方方面面 信息 ， 以 便 能 够 集中 火 帘 听 |， 站 和 
力 进行 攻击 。 探测 又 可 以 分 为 三 个 基本 步骤 : 踩点 、 0 
扫描 和 查 点 。 其 蝙 || 下 总 代码 
攻击 网 络 欺骗 
踩点 指 攻击 者 结合 各 种 工具 和 技巧 ， 以 正常 合 下 异型 
法 的 途径 对 攻击 目标 进行 窥探 ， 对 其 安全 情况 建立 拒绝 服务 | 资源 将 尽 型 
完整 的 剖析 图 。 常 用 的 方法 有 通过 搜索 引擎 对 开放 入 区 浸出 
es § y 类 了 工 化 子 付 
信息 源 进行 搜索 、 域 名 查询 、DNS: 查 询 、 网 络 勘察 次 深 守 | 输入 蛤 证 攻 市 
动 攻 击 | 同步 漏洞 攻 击 
等 。 信任 漏洞 攻击 
志清 
扫描 是 攻击 者 获取 活动 主机 、 开 放 服务 、 操 作 。 | 二 让 
系统 、 安 全 漏洞 等 关键 信息 的 重要 技术 。 必需 || 汐 汪 司 风 
ne , 内 核 套 件 
卫 常 采 水系 乡 中 
查 点 是 攻击 者 常 采用 的 从 目标 系统 中 抽取 有 a 


效 帐 号 或 导出 资源 名 的 技术 。 查 点 的 信 ， 
可 以 归 为 网 络 资源 和 共享 资源 、 用 户 及 月 


2.2 攻击 技术 


在 攻击 阶段 , 攻击 者 通过 探测 阶段 掌握 的 有 关 攻 击 目 
法 来 达到 其 攻击 目的 。 攻 击 方法 层出不穷 ， 但 我 们 可 以 : 
技术 、 拒 绝 服 务 和 数据 驱动 攻击 。 


坎 驱 


2.2.1 穷 听 技术 


窃听 指 攻击 者 通过 非法 手段 在 对 方 没有 感知 的 情形 下 对 展 
窃听 技术 的 流行 攻击 方法 有 键 击 记录 器 、 网 络 监 听 、 非 法 访问 


昌 类 型 大 体 
昌 户 组 和 服务 器 程序 及 其 旗 标 三 类 。 


一 些 安全 关键 信息 。 目 前 属于 
数据 和 抽取 密码 文件 。 
2.2.2 欺骗 技术 
欺骗 技术 是 攻击 者 通过 冒充 正常 用 户 以 获取 
方法 。 属 于 此 类 的 有 获取 口令 、 亚 


获取 口令 的 方式 有 缺 省 口令 、 


对 


网 络 欺骗 指 攻 击 者 通过 向 攻 


Ee 
0 


或 执行 命令 的 攻击 方法 。 具 体 的 有 IP 欺骗、 


议 CRIP) 欺骗 等 。 


2.2.3 拒绝 服务 攻击 


1 Domain Name System， 域 名 解析 系统 


EE 


6b 件 病 毒 、 网 页 病毒 等 。 


目标 发 送 冒 充 其 信任 主机 的 网 络 数据 包 , 达到 者 


系统 的 活动 进行 监视 , 以 获得 


攻击 目标 访问 权 或 获取 关键 信息 的 攻击 
意 代 码 、 网 络 欺 骗 等 攻击 手法 。 


令 猜 测 和 口令 破解 三 种 途径 。 


恶意 代码 包括 特洛伊 木马 应 用 程序 、 


标的 安全 情况 会 选择 不 同 的 攻击 方 
各 其 归 为 以 下 四 类 ， 即 : 窃听 技术 、 


让 


取 访 问 权 


会 训 


支持 、 地 址 解析 协议 重 定向 和 路 1 
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拒绝 服务 攻击 指 攻击 者 设法 中 断 目 标 服务 器 对 合法 用 户 、 网 络 、 系 统 和 其 他 资源 的 服务 


的 攻击 方法 , 被 认为 是 最 邪恶 的 攻击 。 其 意图 就 是 彻底 地 破坏 ,而 这 往往 比 真正 取得 他 们 的 
访问 权 要 容易 得 多 ,同时 所 需 的 工具 在 网 络 上 也 唾 手 可 得 。 因 此 拒绝 服务 攻击 , 特别 是 分 布 
式 拒绝 服务 攻击 对 目前 的 互联 网 络 构成 了 严重 的 威胁 , 造成 的 经 济 损失 也 极为 庞大 。 拒绝 服 


务 攻 击 的 类 型 按 其 攻击 形式 可 划分 为 导致 异常 型 、 资 源 耗 尺 型、 欺骗 型 。 


2.2.4 数据 驱动 攻击 


数据 驱动 攻击 是 通过 向 茶 个 程序 发 送 数据 ， 以 产生 对 被 攻击 者 而 言 是 非 预期 结果 的 攻 


击 , 攻击 结果 通常 是 为 攻击 者 给 出 访问 目标 系统 的 权限 。 数 据 驱 动 攻击 分 为 缓冲 区 溢出 攻击 、 


格式 化 字符 串 攻击 、 输 入 验证 攻击 、 同 步 漏洞 攻击 、 信 任 漏 洞 攻击 等 。 


2.3 隐藏 技术 
攻击 者 在 完成 其 攻击 目标 


攻击 留 下 的 蛛丝马迹 ,避免 被 系统 管理 员 发 现 ， 同 时 还 会 尺 


《如 获得 根 (root〉 权限 ) 后 ， 通 常会 采取 隐藏 技术 来 消除 
量 保留 隐蔽 的 通道 , 使 其 以 后 还 


能 轻易 地 重新 进入 目标 系统 。 隐 藏 技术 主要 包括 日 志清 理 、 安 装 后 门 、 内 核 套件 等 。 


2.4 攻击 总 结 


本 组 进行 过 的 攻击 分 析 工 作 包括 ; 
(1) 地 址 解析 协议 攻击 的 实现 


(2) 缓冲 区 溢出 实验 


(3) Web (万 维 网 ) 攻击 实验 
(4) 后 门 隐藏 软件 (Rootkit) 攻击 实验 


其 中 地 址 解析 协议 攻击 基于 攻击 阶段 的 网 络 欺骗 , 针对 网 络 路 由 器 ; 缓冲 区 溢出 攻击 属 


于 攻击 阶段 中 数据 驱动 攻击 ， 


Cross-site request forgery)， 属 于 攻击 阶段 的 输入 验证 攻击 ， 是 一 种 针对 万 维 网 (web) 应 用 


针对 系统 漏洞 ，web 攻击 中 主要 是 跨 站 请 求 伪造 (CSRF， 


的 攻击 ; Rootkit 攻击 是 在 隐藏 阶段 安装 后 门 的 内 核 套件 ， 是 一 种 隐藏 攻击 者 行为 的 手段 。 


3 ”地 址 解析 协议 欺骗 


地 址 解析 协议 欺骗 的 实现 基于 攻击 阶段 的 网 络 欺 骗 ,， 是 一 种 针对 网 络 路 由 器 的 攻击 。 平 
时 上 网 ,大 家 常常 谈论 的 主要 是 PP、TCP、HTTP2， 如 果 没 有 近年 出 现 的 地 址 解析 协议 病毒 ， 


也 许 没 有 人 会 去 关注 地 址 解析 1 


协议 的 原理 和 漏洞 。 地 址 解析 协议 一 直 在 IP 的 后 面 默默 地 工 


作者 ， 很 少 有 露脸 的 机 会 。 直 3 


站 地 址 解析 协议 病毒 、IP 剪刀 手 、 网 络 执法 官 、P2P 终结 者 等 


软件 的 出 现 , 局 域 网 中 密码 嗅 探 器 和 木马 大 行 其 道 , 人们 才 开 始 注意 到 幕后 的 地 址 解析 协议 。 


的 攻击 。 
3.1 地 址 解析 协议 原理 


虽然 近 几 年 人 们 一 直 认 为 HITPS 是 安全 的 ， 但 通过 地 址 解析 协议 欺骗 可 以 实现 对 HTTPS 


IP 作为 网 络 层 的 协议 ， 包 含 了 许多 强大 的 功能 ， 壁 如 全 球 定 址 和 路 由 。 尽 管 连 在 一 起 


的 网 络 的 体系 结构 不 同 ， 但 是 


IP 屏蔽 掉 了 这 些 差 异 ， 让 我 们 使 用 统一 、 抽 象 的 方式 定 址 。 


因此 IP 地 址 实际 上 只 是 一 个 逻辑 地 址 。 每 块 网 卡 有 一 个 全 球 范围 内 唯一 的 硬件 地 址 ， 也 叫 


? IP，internet protocol， 互 联网 协议 
Transfer Protocol， 超 文本 传输 协议 


; TCP，Transmission Control Protocol， 传 输 控制 协议 ; HTTP，Hypertext 
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MAC3] 
要 在 局 域 网 内 传送 数据 ， 必 须 把 网 络 
就 是 由 地 址 解析 协议 完成 的 。 


地 址 解析 协议 ， 是 一 种 将 IP 地 址 转化 成 物理 地 址 的 协议 。 地 址 解析 协议 具 


电 址 ， 而 一 块 网 卡 可 以 有 儿 个 IP 地址 ， 一 个 IP 地 址 也 可 以 先后 被 不 同 的 网 卡 
层 的 IP 地 址 转换 成 链 路 层 的 网 卡 硬件 地 址 。 这 个 工 


占用 。 


体 说 来 就 是 


将 网 络 层 〈 也 就 是 相当 于 OSI 的 第 三 层 ) 地 址 解析 为 数据 链 路 层 〈 也 就 是 相当 于 OSI 的 第 


二 层 ) 的 物理 地 址 。 


在 实现 TCP/IP 协议 的 网 络 环境 下 ,一 个 IP 包 走 到 哪 


里 ， 要 怎么 走 是 靠 路 由 表 定义 。 但 


是 ， 当 IP 包 到 达 该 网 络 后 ， 骨 
址 来 识别 。 
是 说 ,只 
包 。 每 一 个 主机 都 设 有 
各 主机 和 路 | 
(192.168.1.1) 发 送 数据 为 例 


找 是 否 有 


有 机 器 的 硬件 MAC 地 址 和 该 他 包 


Ph 台 机 器 响应 这 个 IP 包 却 是 靠 该 全 包 ! 
局 域 网 的 网 络 流通 不 是 根据 IP 地 址 进行 ， 而 是 按照 MAC 地 址 进行 传输 。 也 就 
的 硬件 MAC 地 址 相同 的 机 器 才 会 应 答 这 个 了 
个 地 址 解析 协议 高 速 缓存 (ARP cache)， 里 面 有 所 在 的 
器 的 IP 地 址 到 硬件 地 址 的 映射 表 。 
。 当 发 送 数据 时 ， 主机 A 会 在 


所 包含 的 硬件 MAC 地 


局 域 网 上 的 
我 们 以 主机 A (192.168.1.5) 向 主机 B 
的 地 址 解析 协议 缓存 表 中 寻 


目标 IP 地 址 。 如 果 找 到 了 ， 也 就 知道 了 目标 MAC 地 址 ， 直 


接 把 目标 MAC 地 址 写 


入 MAC 帧 里 面 发 送 就 可 以 了 : 如 果 在 地 址 解析 协议 缓存 表 中 没有 找到 相对 应 的 IP 地 址 ， 


主机 A 就 会 在 网 络 上 发 送 一 个 广播 ， 


目标 192.168.1.1 的 MAC 地 址 是 “FF.FF.FF.FF.FE.FF”， 


这 表示 向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 :“192.168.1.1 的 MAC 地 址 是 什么 ? ”网 络 


上 其 他 主机 并 不 响应 地 址 解析 协议 询问 ， 上 


“有 主机 也 
样 的 回应 : “192.168.1.1 的 MAC 地 址 是 00-aa-00-62-c6-09”。 


接收 到 这 个 帧 时 ， 才 向 主机 A 做 出 这 
这 样 ， 主 机 A 就 知道 了 主机 B 


的 MAC 地 址 ， 可 以 向 主机 B 发 送信 息 了 。 


同时 它 还 更 新 了 


,的 地 址 解析 协议 缓存 表 ， 下 


次 


再 向 主机 B 发 送信 息 时 ， 直 接 从 缓存 表 里 查 找 就 可 以 了 。 


地 址 解析 协议 缓存 表 采 用 了 老 


化 机 制 ,在 一 段 时 间 内 如 果 表 中 的 某 一 行 没有 使 


析 协 议 缓存 表 的 长 度 ， 加 快 查询 速度 。 


j， 就 会 被 删除 ， 这 样 可 以 大 大 减少 地 址 解 


如 果 所 要 找 的 主机 和 源 主 机 不 在 同一 个 局 域 网 上 , 那么 就 要 通过 地 址 解析 协议 找到 一 个 


位 于 本 局 域 网 上 的 某 个 路 1 
这 个 路 | 


3.2 地 址 解析 协议 攻击 存在 的 原因 
地 址 解析 协议 欺骗 


解析 协议 请 求 或 者 应 答 来 实现 的 。 被 攻击 的 群体 
网 关 对 外 联网 。 大 部 分 公司 都 是 使 用 这 种 


为 一 个 默认 


是 通过 发 送 有 错误 信 


器 《或 者 网 关 ) 的 硬件 地 址 
器 把 分 组 转发 给 下 一 个 网 络 。 剩 下 的 工作 就 


， 然 后 把 分 组 发 送 给 这 个 路 由 
下 一 个 网 络 来 做 。 


器 ， 让 


目 


Bi 性, 


( 假 的 IP 地 址 或 者 假 的 MAC 地 址 ) 


的 地 址 


用 户 处 在 交互 式 以 太 网 中 , 并 通过 路 


| 器 作 
开放 的 ? 


局 域 网 组 网 技术 。 因 为 局 域 网 是 


中 间 人 可 以 
中 。 主 要 利用 


向 正常 客户 机 一 样 接 入 到 局 域 网 中 , 或 接 入 能 连接 到 被 攻击 者 所 在 局 域 网 
地 址 解析 协议 的 以 下 两 个 特点 来 进行 攻击 : 


的 网 络 


@ 地址 解析 协议 请 求 是 以 广播 的 方式 运行 ， 网 上 所 有 主机 都 会 收 到 地 址 解析 协议 请 


求 。 因 此 攻击 者 可 以 看 
@ 地址 解析 协议 并 不 只 在 发 送 了 地 


3.3 地 址 解析 协议 攻击 


3 Media Access Controller， 媒 体 存储 控制 器 


到 局 域 网 中 其 人 


由 主机 的 MAC 地 址 。 


止 解 书 
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协议 请 求 后 才 接 收 地 址 解析 协议 应 答 。 当 计 
算 机 接收 到 地 址 解析 协议 应 答 数据 包 的 时 候 , 就 会 对 本 地 的 地 址 解析 协议 缓存 进行 
更 新 ， 将 应 答 中 的 卫 和 MAC 地 址 存储 在 地 址 解析 协议 缓存 中 。 


第 12 卷 第 


一 


其 信息 技术 快报 Vol.12 No.1 
Information Technology Letter Jan. 2014 
从 改变 网 络 连接 的 方式 区 分 ,地址 解析 协议 欺骗 有 二 种 ,一 种 是 对 路 由 器 ， 地址 解析 协 
议 表 的 欺骗 ， 男 一 种 是 对 内 网 PC 的 网 关 其 骗 。 


@ 第 一 种 地 址 解析 协议 欺骗 的 手段 是 截获 网 关 数 据 。 攻 击 者 发 给 路 由 器 一 系列 错误 的 
内 网 MAC 地 址 ， 并 按照 一 定 的 频率 不 断 进行 ， 使 真实 的 地 址 信息 无 法 通过 更 新 保 
存在 路 由 器 中 ， 结 果 路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 址 ， 造 成 正常 PC 
无 法 收 到 信息 。 


@ 第 二 种 地 址 解析 协议 欺骗 的 手段 是 伪造 网 关 。 攻 击 者 建立 假 网 关 ， 让 被 它 欺 骗 的 PC 
向 假 网 关 发 数据 ， 而 不 是 通过 正常 的 路 由 器 途径 上 网 。 受 害 者 的 感觉 就 是 “网 络 掉 
线 ， 上 不 了 网 了 ”。 


3.4 利用 地 址 解析 协议 欺骗 实现 对 HITPS 的 中 间 人 攻击 


中 间 人 攻击 (man-in-the-middle，MITM) 利 用 HTTPS 服务 器 发 送 一 个 带 公 钥 的 证 书 给 
Web 浏览 器 这 样 一 个 运行 特点 来 进行 攻击 。 如 果 证 书 不 可 信 ， 整 个 通信 过 程 就 都 是 容易 受 
到 攻击 的 。 因 此 攻击 者 可 以 用 一 个 修改 过 的 证 书 来 蔡 代 HITTPS 服务 器 用 来 验证 的 原始 证 书 。 
如 果 浏 览 器 发 送 警 告 通知 时 用 户 没有 仔细 检查 证 书 ， 攻 击 就 成 功 了 。 


对 HTTPS 的 中 间 人 攻击 可 以 通过 恶意 修改 地 址 解析 协议 和 DNS 协议 的 正常 行为 来 实 
现 。 客户 主机 连接 到 交换 式 以 太 网 ,通过 路 由 器 这 样 一 个 默认 网 关 来 连接 到 网 络 。 因 为 局 域 
网 是 开放 的 , 恶意 用 户 可 以 向 正常 客户 机 一 样 接 入 到 局 域 网 中 , 或 能 连接 到 已 经 被 攻击 的 主 
机 所 在 局 域 网 的 网 络 中 。 


具体 的 攻击 步骤 如 下 : 


(1) 连接 入 局 域 网 : 中 间 人 连接 到 受害 者 的 局 域 网 ,并 在 受害 者 和 局 域 网 默认 路 由 之 间 
伪装 成 一 个 网 关 ( 即 攻击 者 对 受害 者 伪 六 成 局 域 网 路 由 器 ,对 默认 路 由 器 伪装 成 受 
害 者 )。 形 成 如 图 2 所 示 的 网 络 拓扑 。 


远程 HTTPS 
服务 器 


客户 -CH 攻击 者 -ATH 路 由 器 -NAT 
MAC:02-02-02-02-02-02 MAC:03-03-03-03-03-03 MAC:01-01-01-01-01-01 
IP:192.168.0.2 IP:192.168.0.2 IP:192.168.0.1 


图 2. 网 络 拓扑 图 


施行 地 址 解析 协议 欺骗 : 攻击 者 拦截 地 址 解析 协议 响应 , 找到 本 局 域 网 中 路 由 器 (图 
中 Host1) 和 被 攻击 客户 机 (图 中 Host2) 的 MAC、IP 地 址 。 并 向 路 由 器 (被 攻击 
客户 机 ) 谎 称 : 被 攻击 客户 机 路由器) 的 卫 地 址 是 对 应 我 的 MAC 地 址 。 目 的 
是 让 路 由 器 (被 攻击 客户 机 ) 认为 攻击 者 就 是 被 攻击 客户 机 〈 路 由 器 ) ， 使 发 送 到 
路 由 器 和 被 攻击 客户 机 的 数据 重 定向 到 中 间 人 《“ 即 攻击 者 ， 图 中 Host3) 机 器 上 。 
攻击 成 功 后 的 结果 如 图 3 所 示 。 


(2 


— 


te 
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[user@HOST1] $ arp -a 
host2.victim.org (192.168.0.2) at 02:02:02:02:02:02 [ether] 
on ethO 


[user@HOST2] $ arp -a 


hostl.victim.org (192.168.0.1) at 01:01:01:01:01:01 [ether] 
on ethO 

(a) 

[user@HOST1] $ arp -a 

host2.victim.org (192.168.0.2) at 03:03:03:03:03:03 [ether] 


on etho 


[user@HOST2] $ arp -a 

hostl.victim.org (192.168.0.1) at 03:03:03:03:03:03 [ether] 
on etho 

(b) 


图 3. 地 址 解析 协议 欺骗 (a 是 欺骗 之 前 ，b 是 欺骗 之 后 ) 


(3) 实施 DNS 欺骗 ， 攻击 者 通过 DNS 欺骗 使 所 有 的 DNS 请 求 都 重 定位 到 攻击 者 的 机 

器 ， 所 有 从 客户 端 〈Client Host，CH) 到 Web 服务 器 的 通信 都 会 经 过 攻击 者 。 所 
有 客户 端 发 送 到 默认 网 关 的 请 求 没有 经 过 任何 更 改 而 被 攻击 者 , 使 得 攻击 者 可 以 截 
获 和 修改 所 有 受害 者 与 路 由 之 间 的 通信 。 攻 击 者 通过 dnsspoof 向 被 攻击 者 返回 一 
个 DNS 响应 ， 响 应 把 域名 IP 定位 到 自己 机 器 的 IP 上 ， 受 害 者 就 会 将 攻击 者 误 认 
作 Web 服务 器 。 


(4) 算 改 路 由 功能 : 为 了 使 被 攻击 客户 机 不 易 觉 察 异常 ， 中 间 人 必须 能 转发 客户 机 与 
Web 服务 器 之 间 的 通信 (通过 简单 修改 IP 路 由 表 ， 局 用 人 P 转发 )。 


(5) 伪造 证 书 : 攻击 者 使 用 webmitm 工具 来 假借 Web 服务 器 的 名 义 ， 生 成 一 个 伪造 的 
证 书 。 攻 击 者 开启 一 个 假 的 HTTPS 会 话 ， 在 这 个 会 话 中 攻击 者 可 以 噢 探 和 解密 所 
有 的 通信 。 


(6) 诱 使 用 户 接受 伪造 证 书 : 攻击 者 生成 的 伪造 证 书 和 真正 证 书 一 样 附带 安全 警告 , 提 
醒 用 户 认识 到 自 签 名 证 书 的 潜在 风险 。 用 户 经 常 看 到 类 似 的 警告 , 往往 会 对 之 忽略 
而 接受 了 这 种 伪造 的 证 书 。 于 是 建立 了 受害 者 和 攻击 者 、 攻 击 者 和 Web 服务 器 两 
条 加 密 通 道 。 此 时 攻击 者 就 可 以 截获 和 解密 所 有 的 通信 ,因为 攻击 者 拥有 证 书 中 对 
应 公 钥 的 私 钥 。 


(7) 获取 私密 信息 : 攻击 者 对 安全 通道 上 的 通信 抓 包 ， 通 过 检查 原始 Web 页 面 的 输入 
语法 ， 来 快速 有 效 地 查找 到 解密 的 通信 中 包含 的 隐私 数据 ， 如 用 户 名 和 密码 。 
4 缓冲 区 溢出 实验 


缓冲 区 溢出 攻击 属于 攻击 阶段 中 数据 驱动 攻击 ,是 一 种 针对 系统 漏洞 的 攻击 。 组 冲 区 滋 
出 是 一 种 非常 普遍 、 非 常 危 险 的 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 存在 。 利 用 缓冲 区 
溢出 攻击 ， 可 以 导致 程序 运行 失败 、 系 统 关机 、 重 新 启动 等 后 果 。 

4.1 缓冲 区 溢出 原理 


缓冲 区 洪 出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 时 位 数 超过 了 缓冲 区 本 喘 的 容量 , 使 得 洪 
出 的 数据 覆盖 在 合法 数据 上 。 理想 的 情况 是 程序 应 检查 数据 长 度 , 并 阻止 超过 绥 冲 区 长 度 的 


~ 


4 一 个 DNS 欺骗 工 县 
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字符 输入 。 但 是 绝 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 储存 空间 相 匹配 ， 了 
剖 区 溢出 埋 下 隐患 。 操 作 系统 所 使 用 的 缓冲 区 又 被 称 为 "堆栈 "。 在 各 个 操作 进程 之 间 ， 指 令 
会 被 临时 储存 在 "堆栈 "当中 ,， "堆栈 "也 会 发 生 缓冲 区 溢出 。 


在 当前 网 络 与 分 布 式 系统 的 攻击 事件 中 ，50% 以 上 都 是 利用 了 缓冲 区 溢出 。 其 中 最 著名 
的 例子 是 1988 年 利用 fingerd 漏洞 的 蠕虫 。 而 缓冲 区 溢出 中 ， 最 为 危险 的 是 堆栈 溢出 。 
因为 入 侵 者 可 以 利用 堆栈 溢出 ， 在 函数 返回 时 改变 返回 程序 的 地 址 ， 让 其 跳 转 到 任意 地 址 ， 
带 来 的 危害 一 种 是 程序 崩 江 导致 拒绝 服务 , 另外 一 种 就 是 跳 转 并 且 执 行 一 段 恶意 代码 ， 比 如 
得 到 外 壳 〈shell)， 然 后 为 所 和 欲 为 。 


4.2 栈 上 的 缓冲 区 溢出 


缓冲 区 溢出 攻击 的 一 种 方法 是 通过 构造 特定 的 输入 X, 使 得 overflow. cg 代码 中 的 函 
数 return_input () 执行 两 次 ， 其 中 return_input () 定义 了 30 字 节 长 度 的 数组 ， 
然后 把 用 户 的 输入 读 入 缓冲 区 ， 并 输出 到 标准 输出 端 。 有 具体 过 程 如 下 : 


4.2.1 攻击 过 程 及 结果 截图 


忆 - 


tgdb}y disas main 
Dump of assembler code for function main: 


各 区 自生 自 导 且 30 之 志 main+ 人 = : push 竺 主 bp 

BoAdg3d3 <maint+l>: MOY Sesp, Sebp 

BxOBOAB3dS <maint3>: call x80d483bd4 <return input> 
Bxd80483da <mainid>: MOW Eb: 


BxBa04B3dT <main+l3: pap ebp 
和 区 人 43eD <main+ld>: ret 

End of assembler dump. 

tgdb} 


图 4. main 函 数 的 反 汇 编 代码 


cxj@localhost:~ | 


Fle Edit View Jerminal Tabs Help 

[cxj@localhost ~]$ printf "AAAAAAAAAABBBBBBBBBBCCCCCCCCCC” | ./overflow 

AAAAAAAAAABBBBBBBBBBCCCCCCCCCC 

[cxj@localhost ~]$ printf "AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDD\xd5\x83\x04\x08" | 
./overflow 

AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDaCL 

AAAAAAAAAABBBBBBBBBBCCCCCCCCCCDDDDECI 

[cxj@localhost ~]$ 


图 5. 栈 上 的 缓冲 区 溢出 


4.2.2 过 程 解析 


攻击 者 通过 分 析 栈 中 的 内 容 ， 使 用 return_input 的 地 址 履 盖 栈 中 的 返回 地 址 ， 这 样 
当 执 行 完 一 个 return_input 时 ， 返 回 地 址 还 是 调用 return_input 的 地 址 ， 因 此 成 功 
地 使 程序 执行 了 两 次 输出 。 


在 上 面 的 实验 中 ， 试 着 输入 多 于 30 个 字 节 的 字符 串 ， 这 超出 了 缓冲 区 的 长 度 并 将 覆盖 
栈 上 其 他 数据 。 我 们 可 以 看 到 原来 的 返回 地 址 应 该 是 90x080483da， 当 输入 4 个 D 时 ， 栈 
中 接 下 来 的 内 容 便 是 返回 地 址 ， 因 此 , 在 最 后 的 执行 中 输入 四 个 D， 然 后 输入 我 们 期 望 的 返 
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回 地 址 ， 也 就 是 90x080483d5， 这 样 就 成 功 地 履 盖 了 原来 的 返回 地 址 。 
4.3 利用 漏洞 获得 根 权 限 


缓冲 区 溢出 一 般 还 会 被 用 来 获取 根 (uid 9) 特权 ， 我 们 可 以 攻击 以 根 特 权 运 行 的 进程 
来 达到 这 个 目的 。 如 果 进 程 以 根 运 行 ， 我 们 就 可 以 通过 溢出 强制 它 执行 shel1， 而 这 个 
shel1 将 继承 根 特权 ， 我 们 也 会 因此 而 得 到 根 shel1。 通 过 攻击 一 段 root ( 根 ) 属 组 的 
代码 ， 获 得 root 权限 。 具 体 的 步骤 如 下 ; 


4.3.1 派生 shell 


为 了 实现 攻击 ， 先 写 一 段 可 以 派生 she11 的 C 代码 ,但 是 把 C 源 代 码 插入 脆弱 的 缓冲 
区 难度 很 大 ， 因 此 可 以 把 派生 she11 的 C 代码 编译 成 汇编 指令 ， 然 后 从 可 读 的 汇编 指令 
提取 shellcodel, 将 shellcode 注入 到 缓冲 区 。 为 了 执行 shellcode, 需要 获取 程序 
的 执行 控制 ， 需 要 用 shellcode 的 第 一 条 指令 的 地 址 改写 程序 返回 地 址 。 根 据 ESP” 指 针 
的 地 址 ， 猜 测 当前 地 址 与 shellcode 之 间 的 偏 移 距 离 ， 这 个 偏 移 距离 就 是 shellcode 的 
第 一 条 指令 。 


4.3.2 具体 实现 与 结果 截图 


首先 ， 派 生 she11 的 shellcode 向 缓冲 区 中 插入 机 器 指令 ， 接 下 来 需要 获取 程序 的 
执行 控制 。 使 用 和 前 面 实验 一 样 的 技术 ,用 shellcode 第 一 条 指令 的 地 址 来 改写 返回 地 址 ， 
找 出 shellcode 的 起 始 地 址 ， 这 样 可 以 找 出 ESP 的 地 址 ， 然 后 就 可 以 根据 这 个 地 址 来 猜 
测 当 前 地 址 与 shellcode 之 间 的 偏 移 距离 。 这 个 偏 移 将 是 shellcode 的 第 一 条 指令 。 接 
着 ， 把 程序 的 属 主 设 为 root, 再 把 suid 位 打开 ， 执 行 sudo chown root victim 和 
sudo chmod +s victim 两 条 命令 ， 再 以 普通 用 户 的 身份 登录 系统 ， 破 解 这 个 程序 ， 就 可 
以 获得 根 特权 。 


infosecurity@infosecurity-desktop:~/xjcui$, /nopattack 630 
Using address: Qxbffff4b4 
infosecurity@infosecurity-desktop:~/xjcui$, /victim $BUF 
# id 


uid=1090(infosecurity) gid=1000(infosecurity) euid=g(root) groups=4(adm),20(dialot),24 (cdrom), 46(plugdev),195(lpadmin),119(admin),122 
(sambashare),16000(infosecurity) 

# whoami 

root 


图 6 攻击 成 功 获得 根 特权 
截图 表明 通过 以 上 程序 猜 到 了 正确 的 偏 移 量 ， 派 生 了 root shel1。 


以 上 程序 是 通过 攻击 以 根 特权 运行 的 进程 来 达到 获取 根 特权 的 目的 。 如 果 进 程 以 根 运 
行 , 即 可 通过 溢出 强制 执行 she11, 而 这 个 she11 将 继承 根 特 权 , 因此 我 们 会 得 到 根 she11。 
通过 execve 系统 调用 来 派生 shell 是 为 了 向 缓冲 区 插入 指令 。 如 前 文 所 述 ， 需 先 把 派 4 
shell 的 C 代码 编译 成 汇编 指令 ， 然 后 从 可 读 的 汇编 指令 中 提取 shellcode， 将 
shellcode 注入 到 缓冲 区 ， 并 且 执行 。 接 下 来 需要 用 shellcode 的 第 一 条 指令 的 地 址 来 
改写 返回 地 址 。 通 过 find_start 来 找 出 ESP 的 地 址 ， 用 nopattack 来 猜测 程序 开头 与 
shellcode 第 一 条 指令 之 间 的 偏 移 。 猜 到 正确 的 偏 移 量 ， 程 序 就 派生 了 root shell。 


4.4 远程 登录 服务 器 并 获取 根 权限 


下 面 的 例子 是 利用 SSH 远程 登录 服务 器 ， 然 后 攻击 程序 ， 获 得 系统 的 root 权限 ， 并 
在 infosecurity/Desktop/ 下 创建 一 个 以 姓名 + 学 号 命名 的 文件 来。 


| 
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# pwd 

/home/infosecurity/Desktop 

# mkdir cuixiaojun3112034014 

# 1s 

core gnome-terminal,desktop huangxiaofei3112041006 source.tar.gz zhaoyinghui3112041019 


cuixiaojun3112034014 hahatest source yangzhihai4112075074 zhuchangxu3112041015 
# 


图 7. 远程 登录 服务 器 并 获取 根 权限 


5 ”web 攻击 实验 


跨 站 请 求 伪造 《CSRF) 属于 攻击 阶段 的 输入 验证 攻击 ， 是 一 种 针对 web 应 用 的 攻击 。 
跨 站 请 求 伪造 是 一 种 有 效 的 针对 网 站 的 恶意 利用 技术 , 可 以 强制 已 经 登录 目标 网 站 的 受害 者 
在 不 知情 的 情况 下 ， 向 目标 网 站 发 送 一 系列 有 利于 攻击 者 的 预 认 证 请 求 。 相 比 跨 站 点 攻击 
(XSS)， 跨 站 请 求 伪 造 更 具有 攻击 性 。 同 时 跨 站 请 求 伪 造 也 十 分 难以 防御 ， 一 直 以 来 被 安全 
业界 称 为 “沉睡 的 巨人 ”。 其 原因 是 大 部 分 互联 网 应 用 对 其 防御 不 足 ， 而 攻击 手段 又 层 出 不 
穷 。 过 去 攻击 者 经 常 利用 一 些 诱 导 、 跨 站 漏洞 来 对 目标 进行 攻击 。 
5.1 跨 站 请 求 伪 造 

跨 站 请 求 伪造 是 一 种 挟 制 终端 用 户 在 当前 已 登录 的 Web 应 用 程序 上 执行 非 本 意 的 操作 
的 攻击 方法 。 攻击 者 只 要 借助 少许 的 社会 工程 诡计 , 例如 通过 电子 邮件 或 者 是 聊天 软件 发 送 
的 链接 ， 就 能 迫使 一 个 Web 应 用 程序 的 用 户 去 执行 攻击 者 选择 的 操作 。 例 如 ， 如 果 用 户 登 
录 网 络 银行 去 查看 其 存款 余额 , 他 没有 退出 网 络 银行 系统 就 去 了 自己 喜欢 的 论坛 去 灌水 , 攻 
击 者 如 果 在 论坛 中 精心 构造 了 一 个 恶意 的 链接 并 诱 使 该 用 户 点 击 了 该 链接 , 那么 该 用 户 在 网 
络 银行 帐户 中 的 资金 就 有 可 能 被 转移 到 攻击 者 指定 的 帐户 中 。 当 跨 站 请 求 伪造 针对 普通 用 户 
发 动 攻击 时 , 将 对 终端 用 户 的 数据 和 操作 指令 构成 严重 的 威胁 ; 当 受 攻击 的 终端 用 户 具有 管 
理 员 帐户 的 时 候 ， 跨 站 请 求 伪 造 攻击 将 危及 整个 Web 应 用 程序 。 


邓 


跨 站 请 求 伪造 可 以 解释 如 下 网 es 
站 是 通过 cookies 来 识别 用 户 的 ， 当 用 Eee 


户 成 功 进行 身份 验证 之 后 浏览 器 就 会 ee 


ey) 个 信任 网 站 
得 到 一 个 标识 其 身份 的 cookie， 只 要 3: 用户 访问 一 | ,gs > 
2 Tp 光 2: 信 任 网 站 在 
不 关闭 浏览 器 或 者 退出 登 学 录 ， 以 后 访 个 恶意 网 站 < 用 户 的 浏览 
问 这 个 网 站 会 带 上 这 个 B]， 4: 恶 意 网 站 发 | 水 器 存储 会 话 
ne oa 如 “ 送 一 个 伪造 a cookie 
果 这 期 间 浏 览 器 被 恶意 控制 由 ， 岂 成 页 面 5: 用 户 浏览 号 
再 请 求 这 个 网 站 的 URL”, 可 能 就 会 执 将 请 求 和 步 
行 一 些 用 户 不 想 做 的 功能 (比如 修 又 2 产生 的 
ei 隐私 数据 转 
个 人 资料 )， 这 就 是 所 谓 的 请 求 伪 造 。 发 到 信任 网 
因为 这 些 请 求 也 是 可 以 从 第 三 方 网 站 与 品 8 | 下 
提交 的 ， 所 以 前 组 跨 站 二 字 。 | 
通过 跨 站 请 求 伪造， 攻击 者 盗用 人 
了 用 户 身份 ， 以 用 户 名 义 发 送 恶意 请 对 其 响应 


下 


求 。 跨 站 请 求 伪造 能 够 做 的 事情 包括 ; 人 
以 用 户 名 义 发 送 邮件 、 发 消息 、 咨 图 8. 跨 站 请 求 伪造 攻击 中 


取 用 户 的 账号 、 甚 至 于 购买 商品 、 虚 拟 货币 转账 ……， 形成 对 个 人 隐私 以 及 财产 安全 的 威胁 。 


8 当 用 户 浏 览 某 网 站 时 ， Web 服务 器 置 于 用 户 端的 非常 小 的 ， 记 录用 户 ID、 密 码 、 浏 览 过 的 网 页 、 停 

的 时 间 等 信息 的 文本 文件 

”Uniform Re Locator， 统 一 资源 定位 (可 以 理解 为 网 址 ) 
25 


A 


简单 地 说 ， 
Cookie; (2 ) 在 不 登 出 
成 功 的 条 件 。 


只 


计算 机 病毒 攻击 技术 


在 受害 者 依次 完成 两 个 步骤 : 
出 A 的 情况 下 , 访问 危险 网 站 BB， 才 有 可 能 


5.2 防范 跨 站 请 求 伪造 的 意义 


Sa 
成 功 ， 其 危害 人 
导致 近年 来 各 大 知名 网 站 、 
站 请 求 伪造 的 零 日 漏洞 ?。 通 ; 


(1) 登录 受信 任 网 站 A， 


并 在 本 地 生成 
求 伪造 攻击 有 


让 一 次 跨 站 请 


网 安全 漏洞 中 , 跨 站 请 求 伪造 虽然 没有 注入 和 跨 站 漏洞 排名 


FE 远 大 于 跨 站 漏洞 与 兴 


论坛 、 博 


5.3 跨 站 请 求 伪造 存在 的 基础 


5.3.1 浏览 器 的 cookie 


机 制 


跨 站 1i 


青 求 伪造 不 需要 利 


过 利用 漏 


日 任 何 浏览 器 漏洞 ， 


客 (包括 百度 、YouTube、 
洞 ， 攻 击 者 往往 能 进一步 渗透 目 


入 漏洞 。 同 时 ，! 


于 对 其 关注 不 足 ， 
DISCUZ 等 ) 频频 爆 出 跨 
标 网 站 。 


进行 过 身份 认证 的 会 


话 进行 


攻击 。 在 


立 了 一 个 经 确认 的 会 


点 发 送 请 求 。 该 可 信 


求 。 


以 会 执行 这 个 “可 信 的 动作 ”， 


根本 原因 就 是 Web 站 


话 后 ， 


跨 站 请 求 伪 造 攻 了 


只 要 是 通过 该 web 浏 
信 的 动作 。 然 而 ,在 发 生 了 一 个 跨 站 请 求 伪 造 攻 了 
的 站 点 认为 ， 来 自 该 web 浏 


从 而 为 攻 了 


甚至 不 需要 用 户 访问 亚 
次 Web 交互 中 ， 当 Web 浏览 器 已 经 跟 可 信 的 站 点 建 
览 器 的 该 会 话 所 发 送 的 请 求 ， 都 被 视 为 可 


总 网 站 ， 而 是 利用 已 


后 时 ， 发 起 攻击 的 站 点 使 浏览 器 向 可 信 的 站 


哆 费 的 请 


求 都 是 经 过 确认 的 有 效 请 求 ， 所 


虽然 可 以 向 目标 站 点 
那个 用 户 发 出 的 ， 


出 登录 ， 
提供 


序 已 经 在 用 户 的 浏览 器 


cookie i 


击 。 


5.3.2 GET 的 混用 


这 里 我 们 想 特别 强调 一 下 Web 开 
E 调 GET 的 请 求 只 


述 : 


HTTP1.1 的 


保证 
或 者 是 经 过 那个 
成 功 进行 身份 验证 之 后 浏览 器 就 会 得 到 一 个 标识 
浏览 器 以 后 访问 这 个 网 站 都 
的 链接 、 从 其 他 地 方 收 到 的 URL 或 是 其 他 来 源 。 


因此， 跨 ; pt ead 主要 


特别 强 


上 1， 这 是 由 


和 提供 了 机 会 。 跨 站 请 求 伪造 攻击 之 所 以 会 发 生 ， 
点 所 验证 的 是 Web 浏览 器 而 非 用 户 本 身 。 


后 经常 利 用 目标 站 点 的 身份 验证 机 于 


于 Web 的 身份 验证 机 制 


个 请 求 来 自 于 某 个 用 户 的 浏览 器 ， 
j 户 批准 的 。 


网 站 是 通过 


返回 给 应 用 程序 。 如 果 应 用 程序 3 


会 带 上 这 个 cookie, 而 不 管 这 个 请 求 是 源 自 于 应 


身份 的 cookie。 只 要 不 关闭 浏 览 器 或 者 


出 现在 Cookies 被 用 于 传送 会 


但 是 却 无 法 保证 该 请 求 的 三 
cookie 来 识别 用 户 的 ， 当 


] 程 


二 


话 令 牌 的 情况 。 一 旦 应 用 程 


中 设 定 了 _ cookie， 他 们 的 浏览 器 会 


发 过 程 中 不 当 使 


动 在 随后 的 每 个 请 


求 中 将 这 个 


未 采取 防范 措施 , 那么 它 就 会 易 受 跨 站 请 求 伪造 攻 


用 GET 的 后 果 。 在 RFC2616 关于 
{应 该 作为 数据 获取 ， 而 不 应 该 带 来 任何 的 “ 副 作 


用 ”。 但 是 不 幸 的 是 ,RFC2616 也 指出 : 许多 网 站 的 设计 并 不 遵循 这 个 推荐 ， 甚至 把 使 用 GET 
的 副作用 作为 一 个 特性 。 

虽然 理论 上 应 该 按 RFC 中 的 要 求 : 用 户 不 应 该 为 不 是 来 自 自身 的 HITP GET 请 求 (例如 
一 个 银行 转帐 的 GET 请 求 ) 负 责任 。 但 是 在 实际 上 这 往往 会 是 一 个 用 户 和 银行 关于 到 底 发 生 
了 什么 的 长 期 争论 的 过 程 。 这 里 面 得 意 的 唯 有 攻击 者 了 。 

对 于 恶意 的 GET 请 求 来 说 , 攻击 者 可 以 直接 选择 在 正常 的 网 页 中 插入 恶意 的 URL 链接 


8 Open Web Application Security Project, 
上 用 的 安全 漏洞 


”被 发 现 后 立即 被 恶意 


放 式 万 维 网 应 用 程序 安全 项 
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(例如 论坛 )， 或 发 送 一 封包 括 这 个 GET 请 求 链接 的 HTML 邮件 。 这 样 就 使 得 攻击 用 户 变 得 

更 加 方便 。 


5.3.3 同 源 策 略 的 局 限 


同 源 策略 (SOP: Same Origin Policy)， 简 单 地 说 就 是 要 求 浏览 器 的 Java 脚本 只 能 读 取 或 
者 修改 与 之 同 源 的 那些 HTTP 应 答 和 Cookies， 而 不 能 读 取 来 自 其 他 源 的 内 容 。 在 浏览 器 
的 安全 模型 中 , 跨 域 数据 的 读 取 是 被 禁止 的 。 即 一 个 域 的 脚本 是 不 能 随意 读 取 另 一 个 域 的 信 
居 的 。 浏览 器 的 同 源 策略 限制 了 脚本 只 能 访问 同一 源 下 的 资源 , 一 定 程度 上 保证 了 资源 的 安 
全 性 。 例 如 ，www.goole.com 不 能 读 www.microsoft.com 的 数据 ， 反 之 亦 然 。 


但 是 ， 同 源 策 略 并 不 阻止 跨 域 信息 的 提交 。 一 个 域 可 以 通过 HTTP Request 将 数据 提 
交 给 另外 一 个 域 。 事 实 上 ,许多 的 Web 应 用 都 需要 这 个 功能 。 而 不 幸 的 是 ， 路 站 请 求 伪 造 的 
攻击 也 正 是 利用 了 这 一 点 来 发 出 某 些 请 求 ， 从 而 引起 在 服务 器 端 执 行 某 些 动作 。 所 以 同 源 策 
略 无 法 防止 跨 站 请 求 伪 造 攻 击 。 
5.4 跨 站 请 求 伪 造 攻 击 主 要 步骤 

跨 站 请 求 伪 造 攻击 的 模式 遵循 以 下 5 个 步骤 : 

(1) ”攻击 者 首先 构造 一 个 网 页 ， 其 中 包括 事先 构造 好 的 提交 数据 。 

(2) ”被 攻击 用 户 访 问 到 恶意 的 网 页 ， 如 点 击 了 HTML 邮 件 中 的 恶意 URL 链 接 。 

(3) ”恶意 网 页 将 事先 构造 好 的 数据 发 送 给 用 户 拥有 权限 的 特定 网 站 XX。 

(4) ”网 站 X 基 于 该 用 户 的 身份 来 验证 HTTP 请 求 。( 虽 然 提交 的 数据 是 攻击 者 构造 的 !) 

(5) ”攻击 者 构造 的 提交 数据 通过 Web 服 务 器 的 身份 验证 。 按 攻击 者 要 求 执 行 特定 操作 ， 

如 银行 转帐 等 等 。 
在 这 个 攻击 模式 中 ， 攻 击 者 需要 满足 以 下 若干 条 件 才 能 导致 成 功 的 跨 站 请 求 伪 造 攻击 : 


e@ ”知道 用 户 访问 的 Web 服务 器 。 这 个 信息 并 不 难 获取 ， 尤 其 对 于 常见 的 银行 网 站 ， 
股票 交易 网 站 等 等 。 

@ 诱 使 用 户 点 击 指向 恶意 网 页 的 链接 。 这 也 不 难 做 到 。 一 个 设计 不 错 的 网 络 钓鱼 
(Phishing) 邮 件 ， 例 如 “中 大 奖 ”的 邮件 ， 往 往 可 以 诱 使 不 少 用 户 去 点 击 特定 链接 。 

@ 用 户 可 以 自动 通过 身份 认证 。 如 果 用 户 选择 自动 身份 认证 ， 或 者 是 已 经 通过 了 身份 
认证 即 可 实现 。 后 一 点 尤其 重要 ， 例 如， 如 果 用 户 正在 使 用 网 上 银行 ， 且 已 经 通过 

了 银行 的 身份 认证 ， 那 就 会 处 于 可 能 被 成 功 跨 站 请 求 伪造 攻击 的 阶段 。 当 然 ， 关键 

还 是 网 站 本 身 设计 存在 涉及 跨 站 请 求 伪造 的 安全 漏洞 。 

e@ 网 站 在 验证 提交 数据 的 时 候 不 检查 HTTP Referrer 信息 ， 这 一 问题 在 许多 网 站 

实现 上 都 存在 。 另 外 ,特定 情况 下 ，HTTP ”Referrer 信息 也 可 能 被 攻击 者 伪造 。 

e@。 网 站 会 基于 提交 数据 ， 执 行 有 利于 攻击 者 的 操作 。 

e@ 网 站 用 来 提交 数据 的 表单 (FORM) 的 所 有 的 数据 项 都 可 以 被 攻击 者 事先 构造 。 


5.5 跨 站 请 求 伪 造 实验 

本 攻击 实验 就 是 基于 phpBB2 实 现 的 。phpBB 是 一 个 论坛 软件 ， 使 用 PHP 语 言 开发 ，3 
放 其 原始 码 。 phpBB 是 在 MySQL 数 据 库 上 用 PHP 后 端 语 言 写 的 UBB 风 格 的 讨论 板 , 支持 
/回复 /编辑 信息 ， 可 设置 个 人 信息 、 个 人 论坛 、 用 户 和 匿名 邮件 、 讨 论 主 题 等 ， 具 有 很 


二 


| 


ll 


19 HyperText Markup Language， 超 文本 标记 语言 
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可 配置 性 ， 能 够 完全 定制 出 相当 个 性 化 的 论坛 。 


phpb 座 


您 上 次 访问 时 间 是 星期 一 10 14, 2013 5:48 下 午 


yourdomain.com 


A_litle_ textto describe yourforum 


国 常 见 问题 回 搜索 国会 员 列表 回 团队 
园 个 人 资料 固 您 有 1 封 新 的 站 内 信件 加 注销 [test] 


加 
现在 的 时 间 是 星期 一 10 14, 2013 5:49 下 午 
ourdomain.com 首页 i 
Test category 1 
Test Forum 1 
星期 一 10 14, 2013 5:02 下 午 
人 This is just a test forum. 3 3 attack +D 
标记 所 有 论坛 为 已 读 论坛 时 间 为 北京 时 间 
当前 在 线 状态 


论坛 共有 3 个 帖子 
论坛 共有 3 位 注册 会 员 
@ 最 新 注册 的 会 员 是 attack 
总 计 有 1 位 朋友 在 线 : 1 位 会 员 , 0 位 隐身 和 0 位 游客 [ ] [4 主 ] 
最 高 在 线 纪录 是 2 人 星期 一 10 14, 2013 5:49 下 午 
注册 会 员 : test 


这 是 5 分 钟 之 内 的 论坛 在 线 情况 


图 9. 用 户 登录 phpBB 论 坛 


本 实验 在 发 帖 的 内 容 中 ， 有 一 个 攻击 者 精心 制作 的 链接 。 点 击 链接 ， 会 链接 到 攻击 者 控 
制 的 站 点 。 在 攻击 者 的 站 点 上 是 一 段 删 除 受害 者 收 件 箱 信件 的 html 代 码 。 因 为 受害 者 已 经 登 
录 phpBB 论 坛 ， 会 生成 相应 的 会 话 cookie， 此 时 受害 者 点 击 链接 ， 就 会 发 出 HTTP 请求。 浏览 
器 以 为 是 用 户 自己 发 出 的 请 求 ， 就 会 将 cookie 等 认证 信息 附带 在 请 求 后 ， 最 后 服务 端 也 会 误 
认为 该 请 求 是 用 户 发 出 的 ， 因 而 进行 相应 的 操作 ， 删 除 用 户 收 件 箱 的 信息 。 


(1) ”用 户 登 录 phpBB 论 坛 ， 如 图 9， 收 件 箱 有 一 封 信件 。 
(2) ”用 户 查看 论坛 内 发 布 的 帖子 ， 不 小 心 点 击 了 论坛 内 攻击 者 发 布 的 帖子 ， 如 图 10。 链 接 
到 攻击 者 的 个 人 站 点 〔( 粗 线圈 出 部 分 )。 


4 yourdomain.com 
h b A_ime_ text to describe your forum 
phpbi a 


加 个 人 责 料 加 他 没有 新 的 站 内 信件 园 注 短 [test 


hello !! 


(A newtopie) (postreply) yourdomain com 首页 .> Test Forum 1 


间 恋 上 一 个 主题 :: 阅读 下 一 个 主题 


tack 口 其 表 于 ; 星 风 一 10 14, 2013 502 下午。 发 表 主 是 helo 


加 入 于 2013-10-14 em 7 
文 二 1 


逝 占 页 首 [ED 


(rr) 


显示 以 有 的 主 雹 [所 有 主题 ”了 [号 昌 的 主 是 jco ] 
(A newtopte) (postreply) yoordonancom MW > Test Forum 1 论坛 时间 为 多 各 对 间 
图 10， 用 户 点 击 攻击 者 帖子 中 的 链接 
中 ，mysite.html 的 内 容 为 : 


NM 
4 


<html> 

<head> 

</head> 

<body onLoad=javascript:document.xsrf.submit()> 

<form action="http://[sitel/phpBB2/privmsg.php?folder=inbox" method="post" 

name="xsrf"> 
<input type="hidden" name="mode" value="" /> 
<input type="hidden" name="deleteall" value="true" /> 
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<input type="hidden" name="confirm" value="Yes"> 
</body> 
(3) ”用 户 收 件 箱 内 的 信件 被 全 部 删除 ， 如 图 11。 


yourdomain.com 
le_ text to describe your forum 


A ~ 您 的 收 件 箱 已 使 用 0% 
(@) 风 作 箱 他 ) 发 人 第 全) 已 发 送 的 信件 箱 草稿 箱 
0% 50% 100% 
(向 newpost 】 yourdomain.com 首页 显示 以 前 的 帖子: [所 有 主题 可 [Go 
题 来 和 日 选择 


ET 站 内 信 
| 选择 所 有 信件 :: 取消 所 有 选择 
(和 newpost 


论坛 时 间 为 北京 时 间 


苇 呈 到 [选择 一 个 版 面 ”小 Go ] 


图 11， 用 户 收 件 箱 内 的 所 有 信件 都 被 删除 
5.6 跨 站 请 求 伪 造 的 危害 
(1) ”伪造 请 求 


攻击 者 可 以 使 受害 者 在 不 知情 的 情形 下 执行 自己 不 想 进 行 的 操作 ,如 依照 攻击 者 的 意图 
修改 自己 的 数据 ; 


(2)” 资 取 权限 
攻击 者 可 以 伪造 管理 员 的 请 求 操作 给 自己 加 上 管理 权限 ; 
(3) “施行 web 蠕 虫 病毒 攻击 


攻击 者 先 利 用 xss 漏 洞 在 页 面 里 注入 病毒 脚本 代码 ， 这 段 代 码 还 包括 跨 站 请 求 伪 造 攻击 ， 
使 得 浏览 此 页 面 的 用 户 自 动感 当 , 比如 自动 把 病毒 代码 写 入 到 自己 的 签名 里 。 这 样 别人 浏览 
受 感染 者 的 签名 时 也 会 被 感染 上 ， 形 成 了 蚂 虫 病毒 。 


I 


6 ”Rootkit 实验 


攻击 者 在 完成 其 攻击 目标 (如 获得 根 权 限 ) 后 ， 通 常会 采取 隐藏 技术 来 消除 攻击 留 下 的 
蛛丝马迹 ， 避 免 被 系统 管理 员 发 现 ， 同 时 还 会 尽量 保留 隐蔽 的 通道 ,使 其 以 后 还 能 轻易 地 重 
新 进入 目标 系统 。 Rootkit 是 一 种 特殊 的 恶意 软件 , 它 的 功能 是 在 安装 目标 上 隐藏 自身 及 指定 
的 文件 、 进 程 和 网 络 链接 等 信息 ， 比 较 多 见 到 的 情形 是 Rootkit 和 木马 、 后 门 等 其 他 恶意 程序 
结合 使 用 。Rootkit 通 过 加 载 特殊 的 驱动 ， 修 改 系统 内 核 ， 进 而 达到 隐藏 信息 的 目的 。 


6.1 Rootkit 概述 


Rootkit 技 术 使 恶意 代码 隐藏 得 更 深 ， 更 容易 躲避 安全 检测 。 传统 Rootkit 种 类 繁多 技术 
复杂 。 从 用 户 应 用 层 深入 到 操作 系统 内 核 层 采用 的 技术 主要 有 以 下 两 种 : 


一 是 与 程序 执行 路 径 挂 钩 Hook)， 其 主要 思想 是 修改 程序 执行 逻辑 ， 在 调用 路 径 的 不 
同 层次 上 与 原 有 系统 函数 或 指令 代码 挂钩 ,将 其 替换 为 Rootkit 自 有 函数 或 恶意 代码 ， 并 对 系 
统 返回 信息 进行 过 滤 ， 为 程序 执行 者 提供 错误 或 虚假 的 结果 。 


二 是 直接 内 核对 象 操纵 〈Direct Kernel Object Manipulation，DKOM)。 内 核对 象 为 用 户 
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提供 了 进程 、 驱 动 和 网 络 端口 等 详细 系统 信息 ,直接 内 核对 和 象 操纵 修改 这 些 对 象 的 关键 数据 
结构 ， 以 隐藏 与 攻击 相关 的 对 象 信 息 ， 提 升 线程 的 执行 权限 。 


传统 Rootkit 技 术 破 坏 了 操作 系统 的 完整 性 ， 引 起 了 系统 信息 改变 和 行为 异常 。 通 过 检测 
这 些 系统 变化 可 以 判断 系统 中 是 否 存在 Rootkit。 继 基于 特征 码 的 检测 技术 之 后 ,基于 启发 式 
算法 的 行为 识别 、 系 统 视 图 交叉 对 比 、 完 整 性 校 验 等 新 型 操作 系统 内 核 检测 技术 对 当前 各 种 
复杂 的 Rootkit 均 有 较 好 的 检测 效果 。 


为 获得 系统 控制 权 ， 攻 击 和 防御 都 在 向 系统 底层 迁移 。Rootkit 若 能 够 驻 留 在 更 底层 ， 就 
能 够 躲避 甚至 控制 安全 软件 。 反 之 安全 软件 若 占 据 底层 就 能 够 检测 隔离 和 消除 较 高 层 的 
Rootkit。 传 统 Rootkit 面 临 两 个 主要 的 问题 : 一 是 不 能 完全 控制 整个 系统 ， 因 为 Rootkit 与 检 
测 机 制 共 处 于 操作 系统 最 底层 ,同时 拥有 最 高 特权 级 的 绝对 优势 ; 二 是 无 法 平衡 功能 性 和 隐 
藏 性 的 取舍 ， 越 是 强大 的 Rootkit， 调 用 的 系统 资源 越 多 ， 越 容易 被 检测 到 。 


6.2 应 用 构成 


Rootkit 技 术 最 常用 的 工具 是 LKM1! rootkit， 其 中 佼佼 者 如 adore-ng。 在 对 adore-ng-0.56 
成 功 编译 后 ， 主 要 生成 如 下 两 部 分 ，adore-ng-2.6.0 和 ava。adore-ng-2.6.0 是 Linux 下 的 可 加 
载 内 核 模块 , 即 驱 动 程序 。 而 ava 是 adnore-ng-2.6 黑客 软件 的 控制 界面 。 脚 本 startadore 
会 安装 adore-ng-2.6.0 模块 (必须 有 root 权限 )， 然 后 以 普通 用 户 运行 ava 控制 界面 ， 其 输 
出 提示 如 下 : 


./ava {h,u,r,R,i,v,U} [file or PID] 
print info (secret UID etc) 

hide file 

unhide file 

execute as root 

remove PID forever 

uninstall adore 

make PID invisible 

make PID visible 


I 
h 
U 
R 
U 
于 
V 


6.3 文件 〈 目 录 ) 隐藏 

为 了 实现 文件 隐藏 所 使 用 的 指令 1s 世 或 find13 都 是 通过 调用 系统 调用 〈system call) 来 
与 内 核 打 交道 的 。 让 我 们 用 strace* 来 看 一 下 ， 执 行 下 面 的 strace-o/mnt/hgfs/ 
share/ls.txt 1s, 来 监视 ls 程序 的 系统 调用 序列 : 


open(“.”,O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTORY)=3 
fstat64(3, {st_mode=S_IFDIR|0700, st_size=4096,...} )=0 
fcnt64(3,F_SETED, FD_CLOEXEC) =0 

brk (Ox805e000) -0x805e000 
getden64(0x3，ox805cfc8，0x1000，0x805cf98)=1464 @) 
brk (Ox805f000) -0x805f000 


@ 
© 


Loadable Kernel Modules， 可 加 载 内 核 模块 

2 类 Unix 操作 系统 中 的 命令 ， 英 文 list segment 的 缩写 ， 用 于 列 出 文件 

23 类 Unix 操作 系统 中 查找 文件 的 工具 

1 用 于 跟踪 进程 执行 时 的 系统 调用 和 所 接收 的 信号 的 指令 
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getden64(0Qx3, ox805cfc8, Qx1000, Ox805cf98)=0 @ 
close(3) (9) 
其 中 : 
@ 打开 当前 目录 这 个 文件 (目录 是 一 种 特殊 的 文件 )， 并 返回 文件 句柄 3 
@) 取得 当前 目录 文件 的 属性 ， 比 如 大 小 ,这 里 为 4096 
@) 通过 getdents64 系统 调用 来 读 取 当 前 目录 下 的 文件 ， 也 就 是 运行 1s 命 令 后 看 
到 的 
@ 同上 
人 @@ 关闭 代表 当前 目录 文件 的 句柄 
这 里 核心 是 getdents64 系 统 调用 ， 它 会 读 取 目 录 文 件 中 的 一 个 个 目录 项 (directory 
entry)。 运 行 1s 后 能 看 到 文件 ， 就 是 因为 它 返 回 的 这 些 目录 项 。 要 隐藏 文件 〈 目 录 )， 自 然 
F)。 通 常 使 用 的 文件 隐藏 的 


就 是 使 得 该 系统 调用 要 忽略 特定 的 目录 项 (代表 了 要 隐藏 的 文 伯 


技术 主要 是 用 与 执行 路 径 挂 钓 (Hook) 的 方式 来 隐藏 文件 。 还 有 两 点 需要 说 明 : 
(1) ” ”Hook 系统 调用 表 (system call table) 中 的 getdents64 调 用 项 如 图 12 所 示 。 


新 的 系统 调用 表 


| 
上 


12. getdents64 调 月 


原来 的 系统 调用 表 


getdents64 
funct64 


医 


项 示意 


本 实验 中 主要 是 使 用 了 通过 修改 虚拟 文 伯 
关 函 数 指针 来 实现 隐藏 文件 ， 原 理 和 
Linux 在 实际 文件 系统 上 抽象 出 的 一 个 文件 系统 模型 
中 的 abstract class〈 记 住 不 是 interface， 因 为 VFS 中 
文件 系统 通用 的 逻辑 都 在 该 父 类 

minix 、vfat 等 ， 则 是 VFS 这 个 抽象 类 的 子 类 。 


6.4 主要 代码 实现 方式 
Adore-ng-0.56 rootkit 就 使 月 
模块 被 载 入 时 要 替换 根 文 件 中 的 “readdir7 函 数 。 
如 果 想 达到 1s 显 示 不 出 隐藏 文件 的 目录 ， 人 简单 的 办 法 就 是 
回调 函数 : 


(2) 


转换 (VFS，Virtual File Switch) 中 的 相 
上 面 第 一 种 的 方式 有 些 相 同 。 所 谓 VFS 


被 实现 ), 而 各 个 具体 上 


日 
A 


, 我 的 理解 是 VFS 就 像 C++ 
有 很 实际 的 代码 ， 一 些 各 个 
的 文件 系统 ,比如 像 ext2、 


了 上 面 介 绍 的 原理 。 首 先 ， 在 adore-ng.o 内 核 


系统 的 readdir 


替换 掉 文 伯 


int adore_root_readdir(struct file *fp, void *buf, filldir_t filldir) 


{ 
int r = 0; 
If (Ifp || 
return 0; 


Ifp->f_vfsmnt ) 
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root_filldir = 
root_sb[current->pid % 1024] = fp->f_vfsmnt->mnt_sb; 


r 
return r,; 


} 


orig_root_r 
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filldir; // 保 存 原先 的 filldir 


eaddir(fp, buf, adore_root_filldir); 


int adore_root_filldir(void *buf, const char *name, int nlen, loff_t 


off, 


{ 


ino_t ino, unsigned x) 


struct inode *inode = NULL.; 
int r = 0; 
uid_t uid; 
gid_t gid; 
if ((inode = iget(root_sb[current->pid % 1024], ino)) == NULL) 
return 0O,; 
uid = inode->i uid; 
gid = inode->i_gid; 
iput(inode); 


if (uid == ELITE_UID && gid == ELITE_GID) { // 如 果 文 件 的 uid 和 gid 
被 设置 成 实现 约定 好 的 id， 那 么 就 说 明 该 文件 要 隐藏 了 ， 想 隐藏 文件 ， 只 需要 调用 lchown 
将 文件 的 uid 和 gid 改变 即 可 


r = 0; // 碰 到 隐藏 文件 直接 返回 不 再 继续 查找 

} else 

r = root_filldir(buf,，name, nlen，off，ino,，x); // 如 果 不 需要 隐藏 ， 
那么 调用 原先 的 filldir 


getdentsXX 调 月 


return r;} 


本 rootkit 并 没有 拦截 掉 getdents64 和 getdents 系 统 调用 本 身 ， 而 是 直接 拦截 
的 readdir 回 调 函 数 。 这 种 方式 很 灵活 而 又 不 
用 的 地 址 却 不 能 简单 地 监视 回调 函数 的 地 址 。 


6.5 实验 结果 截图 


实验 所 月 


的 file_operations' 
容易 被 发 现 ， 毕 竟 反 黑 程 序 可 以 监视 系统 调 


内 核 版 本 : 2.6.18， 在 2.6.32 版 本 上 也 可 以 运行 ， 


因为 使 用 的 relink26 链 接 的 


~ 


(D) 
(2) 
(3) 


显示 文件 ， 运行 Ss， 如 图 13: 
./ava h cVS， 终 端 会 输出 File'CVS’'is now hidden. 隐 藏 已 经 成 功 。 


体 原 因 


:大 
运行 命令 : 


再 运行 1s 碍 看 文 从 


7 


+ 


普 。 


就 是 关于 2.6 下 的 内 核 版 本 。3.0 以 上 的 版 本 暂时 还 不 能 运行 , 需要 继续 做 实验 来 调 内 核 代码 ， 
需要 继续 查看 源码 。 实 验 过 程 如 下 ; 


F， 如 图 14， 这 时 看 不 到 CVS 这 个 文件 夹 了 ， 说 明 我 们 成 功 进行 了 隐 
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[root@localhost adore-ng-0.56|# 1s 
adore—ng—2.6.c YE: libinvisible.h README .26 
adore-ng-2.6.c” ava.c 1ink26 
adore—ng—2.6.ko Changelog e tart 
adore-—ng-2.6.mod.c cleaner.c Makefile.2.6 symsed 
adore-ng-2.6.mod.o configure Makefilt 
ad 0 VS Makefile 
ad FEATURES Module .markers 
a irq_Vvectors .h Module .symvers 
a CE libinvisible.c README 


图 13， 运 行 1s 结 果 氏 


[root@localhost adore-ng-0.56|# 1s 

a 2.6.c adore-—ng.mod.c libinvisible.c Module .symvers 
a Ce 1 libinvisible.h README 

a Eg-2.6.ko ava.c LICENSE README .26 

ad E-2.6.mod.c Changelog Makefile link26 

a gE-2.6.mod.o cleaner.c Makefile.2.6 start 

ar £-2.6.0 configure Makefile.2.6.gen symsed 

ado FEATURES Makefile.gen symsed.c 
adore—ng. irg_vectors.h Module .markers visible-start.c 


图 14. 运行 ava 后 再 运行 1s 结 果 图 


7 ”Web 应 用 中 十 个 最 严重 的 安全 风险 


个 组 织 ， 它 提供 有 关 计 算 机 和 互联 网 应 用 程序 的 公正 、 实 际 、 有 成 本 效益 的 信息 。 其 目的 是 
协助 个 人 、 企 业 和 机 构 来 发 现 和 使 用 可 信赖 软件 ， 研 究 协 助 解决 Web 软 件 安全 的 标准 、 工 具 


开放 式 Web 应 用 程序 安全 项 目 (OWASPl"，Open Web Application Security Project) 是 一 


与 技术 文件 ， 长 期 致力 于 协助 政府 或 企业 了 解 并 改善 网 页 应 用 程式 与 网 页 服务 的 安全 性 。 


该 组 织 列举 了 网 络 安全 的 十 大 风险 -OWASP Top10。 其 目的 是 通过 展现 出 风险 最 严重 的 


那些 威胁 来 提高 我 们 对 于 应 用 安全 的 认识 。 OWASP Top10 被 很 多 网 络 安全 机 构 〈 如 
MITRE5、PCI DSS*、DISA，”、FTC* 等 ) 所 提 到 。OWASP Top 10 在 2003 年 第 一 次 被 发 行 ， 


在 2004 年 和 2007 年 有 小 小 的 改动 .2010 年 的 版 本 改 为 根据 风险 的 重要 程度 而 不 仅仅 是 流行 程 


度 来 排名 ， 这 是 一 个 改进 。2013 版 沿用 了 同样 的 方法 ， 其 所 列 出 的 风险 如 下 : 


Al1- 注入 (Injection) 


注入 攻击 漏洞 , 例如 查询 语言 (SQL)、 操作 系统 (OS) 以 及 轻 量 目 录 访 问 协议 (LDAP””) 


注入 。 这 些 攻击 发 生 在 当 不 可 信 的 数据 作为 命令 或 者 查询 语句 的 一 部 分 , 被 发 送 给 解释 器 的 


时 候 。 攻击 者 发 送 的 恶意 数据 可 以 欺骗 解释 器 ,以 执行 非 用 户 所 预期 的 命令 或 者 在 未 被 恰当 
授权 时 访问 数据 。 


A2- 失效 的 身份 认证 和 会 话 管理 (Broken Authentication and Session Management) 


15 
16 
4 
18 
1 


与 身份 认证 和 会 话 管 


Ne 


里 相关 的 应 用 程序 功能 往往 实现 得 不 正确 ， 使 攻击 者 得 以 攻破 密 


管理 美国 联邦 政府 投资 研发 中 心 (FFRDCS) 的 一 家 非 营 利 公 司 


Payment Card Industry (PCI) Data Security Standard, 第 三 方 支付 行业 数据 安全 标准 
Defense Information System Agency， 美 国 国防 信息 系统 局 
Federal Trade Commission， 美 国联 邦 贸 易 委员 会 
Lightweight Directory Access Protocol 
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计算 机 病毒 攻击 技术 


码 、 密 钥 、 会 话 令 牌 或 探查 其 他 的 漏洞 去 冒充 其 他 用 户 的 身份 。 


A3- 跨 站 脚本 〈Cross-Site Scripting (XSS)) 


当 应 用 程序 收 到 不 可 信 的 数据 ， 在 没有 进行 适当 的 验证 和 字符 过 滤 的 情况 下 ， 就 将 它 发 
送 给 一 个 网 页 浏览 器 ， 就 会 产生 跨 站 脚本 攻击 (简称 XSS)。XSS 允许 攻击 者 在 受害 者 的 浏 
览 器 上 执行 脚本 ， 从 而 劫持 用 户 会 话 、 和 危害 网 站 、 或 者 将 用 户 导 向 恶意 网 站 。 


A4- 不 安全 的 直接 对 象 引用 〈Insecure Direct Object References ) 


当 开发 人 员 暴 露 一 个 内 部 实现 对 象 的 引用 时 ， 例 如 ， 


就 会 产生 一 个 直接 对 象 引用 。 如 果 没 有 访问 控制 检测 或 其 他 保护 , 攻击 者 就 能 操控 这 些 引 用 


去 访问 未 授权 数据 。 


A5- 安全 配置 错误 (Security Misconfiguration) 


好 的 安全 需要 对 应 用 程序 、 框 架 、 应 用 程序 服务 器 、 


一 个 文件 、 目 录 或 者 数据 库 密 钥 ， 


web 服务 器 、 数 据 库 服 务 器 和 平台 


定义 和 执行 安全 配置 。 由 于 许多 设置 的 默认 值 并 不 是 安全 的 ， 因 此 ， 必 须 定义 、 实 施 和 维护 


这 些 设置 。 此 外 ， 所 有 的 软件 应 保持 及 时 地 更 新 。 


A6- 敏感 数据 暴露 (Sensitive Data Exposure) 


许多 web 应 用 程序 没有 正确 保护 如 信用 卡 , 税 号 和 身份 验证 凭据 等 敏感 数据 。 攻 击 者 可 


能 会 盗 穷 或 算 改 这 些 保护 强度 较 弱 的 数据 ， 从 而 实行 信 


j 卡 欺骗、 号 份 窃取 ， 或 其 他 犯罪 。 


敏感 数据 需 额 外 的 保护 ,比如 在 存放 或 传输 过 程 中 的 加 密 ， 以 及 在 与 浏览 器 交换 时 进行 特殊 


的 预防 措施 。 


A7- 功能 级 别 访问 控制 缺失 (Missing Function Level Access Control ) 


大 多 数 web 应 用 程序 在 功能 呈现 到 用 户 界面 以 前 ,验证 功能 级 别 的 访问 权限 。 但 是 ， 应 


证 ， 攻 击 者 就 能 够 伪造 请 求 以 在 未 经 适当 授权 时 访问 功 


程序 需要 在 每 个 功能 被 访问 时 在 服务 器 端 执行 相同 的 访问 控制 检查 。 如 果 请 求 没有 经 过 验 
能 。 


A8- 跨 站 请 求 伪造 (Cross-Site Request Forgery (CSRF) ) 


一 个 跨 站 请 求 伪 造 攻击 会 迫使 登录 用 户 的 浏览 器 将 伪造 的 HTTP 请 求 , 包括 该 用 户 的 会 


话 cookie 和 其 他 认证 消息 ， 发 送 到 一 个 存在 漏洞 的 web 应 用 程序 。 这 就 使 攻击 者 得 以 迫使 
户 浏览 器 向 存在 漏洞 的 应 用 程序 发 送 请 求 , 而 这 些 请 求 会 被 应 用 程序 认为 是 用 户 的 合法 请 


求 。 


A9- 使 用 已 知 易 受 攻击 组 件 (Using Known Vulnerable Components ) 


诸如 


库 文 件 、 框 架 和 其 他 软件 模块 等 组 件 ， 几 乎 总 是 以 全 部 的 权限 运行 。 如 果 有 一 个 带 
有 漏洞 的 组 件 被 利用 , 这 种 攻击 可 以 造成 更 为 严重 的 数据 丢失 或 服务 器 接管 。 应 用 程序 使 用 
带 有 已 知 漏洞 的 组 件 会 破坏 应 用 程序 防御 系统 ， 并 使 一 系列 潜在 的 攻击 和 影响 成 为 可 能 。 


Al10- 未 验证 的 重 定向 和 转发 (Unvalidated Redirects and Forwards ) 


Web 应 用 程序 经 常 将 用 户 重 定向 和 转发 到 其 他 网 页 和 网 站 , 并 且 利 用 不 可 信 的 数据 去 确 


定 目的 页 面 。 如 果 不 进行 适当 验证 ,攻击 者 可 以 将 受害 
使 用 转发 去 访问 未 授权 的 页 面 。 
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用 户 重 定向 到 钓鱼 或 挂 马 网 站 , 或 者 
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8 ”总 结 和 展望 


在 网 络 迅速 发 展 的 今天 ， 资 源 的 共享 、 交 流 的 便利 使 人 们 可 以 很 方便 地 工作 和 生活 。 互 


联网 的 使 月 


已 经 无 处 不 在 ,但 由 于 计算 机 网 络 本 映 的 开放 性 、 共 享 性 、 多 样 性 等 特点 ,使 网 


络 容易 受到 各 种 各 样 的 攻击 。 在 人 们 使 用 互联 网 的 时 候 ， 由 于 缺乏 相关 的 网 络 安 全 知识 ,大 


计算 机 没有 进行 适当 等 级 的 安全 配置 ,或 者 上 网 的 过 程 中 点 击 不 良 链接 都 有 可 能 导 成 
为 网 络 攻 击 的 受害 者 ,和 带 来 经 济 损失 以 及 隐私 汇 露 。 本 文 在 已 有 攻击 技术 分 类 的 基础 上 , 分 


别 对 实验 室 已 实现 攻击 的 背景 、 原理 和 具体 实施 方法 进行 介绍 。 这 些 攻击 包括 针对 系统 的 绥 
冲 区 溢出 攻击 、 对 网 络 的 地 址 解析 协议 攻击 、 对 web 应 用 的 跨 站 请 求 伪 造 攻击 ， 以 及 攻击 者 


防范 意识 ， 


用 于 隐藏 自身 的 Rootkit 攻 击 等 四 种 。 最 后 ， 本 文 还 对 2013 年 最 新 发 布 的 web 安 全 十 大 威胁 做 
了 简单 的 介绍 。 通 过 对 攻击 技术 的 介绍 ， 旨 在 加 深 读 者 对 常见 攻击 的 认识 ， 增 强 网 络 的 安全 


使 我 们 能 安全 地 享受 互联 网 带 来 的 便利 。 


随 着 计算 机 和 网 络 的 发 展 ， 攻 击 的 方法 和 种 类 也 会 不 断 增多 ， 全 面 地 认识 已 有 的 攻击 ， 
不 仅 能 够 帮助 我 们 做 好 防范 ， 还 能 对 将 来 可 能 出 现 的 攻击 做 好 防范 准备 。 
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